Pod koniec sierpnia Oracle zdecydowało o wydaniu uaktualnienia oprogramowania Java przed planowanym na 16 października terminem publikacji CPU (Critical Patch Update). Zgodnie z doniesieniami zostały wprowadzone 4 poprawki bezpieczeństwa. W sumie w tym roku Oracle wprowadził już 32 poprawki bezpieczeństwa w różnych wersjach oprogramowania Java. Bezpośrednią przyczyną do wydania nowej wersji była luka oznaczona sygnaturą CVE-2012-4681. Jednak nie zanosi się, abyśmy mogli spodziewać się braku informacji o kolejnych lukach w najbliższej przyszłości.
GetClass(„sun.awt.SunToolkit”) – nowa obowiązkowa pozycja w exploit packach?
Pod koniec sierpnia (FireEye 26.08, Gowdiak 28.08) pojawiły się doniesienia o nowowykrytej luce w oprogramowaniu Oracle Java. Fakt szybkiego pojawienia się implementacji PoC (Proof of Concept) znacząco ułatwił adaptację błędu w celu infekowania użytkowników złośliwym oprogramowaniem. W krótkim czasie odpowiedni exploit został dodany do najpopularniejszego obecnie exploit packa – Blackhole. Dołączył on do wcześniej wykorzystywanej podatności oprogramowania Java oznaczonej sygnaturą CVE-2012-0507.
CVE-2012-4681
Samo wykorzystanie podatności nie należy do szczególnie trudnych. Błąd polega na wykorzystaniu metody execute()
obiektu Expression w celu ominięcia ograniczeń przy wywołaniu funkcji getField()
z klasy sun.awt.SunToolkit
. W rezultacie niezaufany aplet Javy może eskalować swoje uprawnia, poprzez wywołanie funkcji setSecurityManager()
, uruchamiając dowolną aplikację z pełnymi uprawnieniami.
Rozwiązaniem problemu jest zainstalowanie poprawionej wersji oprogramowania Java. Jednak nie ma co liczyć na brak kolejnych doniesień nowych lukach w Javie. Wkrótce po wypuszczeniu poprawki przez Oracle’a, pojawiły się doniesienia o wykrytych lukach w nowej wersji JRE (Gowdiak 31.08), potwierdzone przez producenta. Szczegóły błędu póki co nie zostały opublikowane, ale sam fakt istnienia luki zapewne skłoni do zintensyfikowania poszukiwań. Nowa podatność ma zostać usunięta wraz z wersją 1.7 update 9 (zaplanowaną na 16 października). Miejmy nadzieję, że w przypadku pojawienia się doniesień o wykorzystaniu luki, Oracle ponownie zdecyduje się na wcześniejsze wydanie uaktualnienia. Tymczasem warto rozważyć odinstalowanie oprogramowania Java lub wyłączenie dodatku Java w przeglądarce.
Jak wyłączyć oprogramowanie Java w przeglądarce
Mozilla Firefox
Z menu Narzędzia wybieramy pozycję Dodatki.
Następnie z listy dodatków wybieramy te związane z Javą i wyłączamy je.
Internet Explorer
Z menu Narzędzia wybieramy pozycję Zarządzaj dodatkami.
Następnie z listy dodatków wybieramy te związane z Javą i wyłączamy je.
W ostatnim oknie dialogowym potwierdzamy wyłącznie dodatku wraz z dodatkami powiązanymi.
Google Chrome
W pasku adresu wpisujemy: chrome://plugins .
Następnie z listy wybieramy te związane z Javą i wyłączamy je.
Opera
W pasku adresu wpisujemy: opera:plugins .
Następnie z listy wybieramy te związane z Javą i wyłączamy je.